GRU kätte langes kümneid tuhandeid AK-märkega dokumente
2020. aastal langes Eesti ametiasutusi rünnanud Vene sõjaväeluure (GRU) häkkerite kätte suur hulk asutusesiseseks kasutamiseks mõeldud ehk AK-märkega infot. Lekkinud info seas on nii ettevõtete ärisaladusi kui ka tuhandete Eesti inimeste terviseandmeid. Eesti kuulutas kolm rünnakuga seotud GRU agenti tagaotsitavaks.
Vene sõjaväeluure juurde loodud küberüksus on rünnakuid korraldanud alates 2020. aastast. Rahvusvaheliselt kõige enam kõlapinda sai 2022. aasta rünnak Ukraina infosüsteemide vastu. Kuid veel enne ja pärast seda on pihta saanud veerandsada riiki.
Eestit 2020. aasta novembris tabanud rünnakus sai kõige tugevama hoobi majandus- ja kommunikatsiooniministeeriumi (MKM) haldusala, kust võeti kaasa 360 gigabaidi jagu andmeid.
Lisaks ministeeriumi enda infole varastati andmeid maanteeameti, veeteede ameti, geoloogiateenistuse, tarbijakaitse ja tehnilise järelevalve ameti ning lennuameti süsteemidest. Kaitsepolitsei peadirektori Margo Pallosoni sõnul riigisaladusele ligi ei pääsetud. Küll aga läks kaotsi üksjagu asutusesiseseks kasutamiseks mõeldud infot.
"Loomulikult kõik informatsioon, mis puudutab Eesti taristut, eriti kriitilist taristut, elutähtsa teenuse osutajaid, see on kõik Vene eriteenistuste fookuses," sõnas Palloson. "Sellist infot nad püüavad koguda ja kaardistada ning sellist infot majandus- ja kommunikatsiooniministeeriumis kahtlemata liigub."
Infosüsteemidesse pääsenud häkkerid laadisid valimatult alla kõike, mis neil kätte õnnestus saada. "Sisulisema poole pealt me räägime üldistest strateegiadokumentidest, personalinimekirjadest, palgatabelitest ja muudest sellistest töödokumentidest," sõnas keskkriminaalpolitsei küberkuritegude osakonna juhi Ago Ambur.
GRU varastas nii isikuandmeid kui ka ärisaladusi
MKM-i kantsler Ahti Kuningas täpsustas, et põhimõtteliselt said häkkerid mõneks ajaks ligi kõigele, mida leidus MKM-i haldusala avalikes dokumendiregistrites. Rünnaku ajal ulatus registritesse kogunenud arhiiv aastate taha.
"Seal sõnas on "avalik" aga eks ole seal ka teatud AK-tasemega dokumente," ütles Kuningas. "Seal on näiteks teenistujate isikuandmed, palgadokumendid, erinevad strateegiadokumendid, muud töödokumendid. Ja kirjavahetus ettevõtetega, kus on ka ettevõtetel olnud teatud tundlikud andmed."
Näiteks 2020. aasta oktoobris registreeriti tarbijakaitse- ja tehnilise järelevalveameti dokumendiregistris 95 dokumenti, mis on kõigile kättesaadavad ning 116 dokumenti, mis kannavad märget "asutusesiseseks kasutamiseks".
Neist paljud sisaldavad isikuandmeid, millele juurdepääsu võimaldamine kahjustaks asutuse teatel oluliselt eraelu puutumatust. Paljude dokumentide juures on märge, et nende avalikustamine võib kahjustada ärisaladust.
Veel palju rohkem infot peidab endas endise lennuameti dokumendiregister. 2020. aasta oktoobris seati sinna umbes 80 avalikku dokumenti. AK-märke sai samal perioodil tuhatkond dokumenti.
Neist mõned kannavad infot ettevõtete jaoks oluliste tehniliste lahenduste kohta, mõne avalikuks tulek võib registri andmetel kahjustada Eesti riigi välissuhtlust.
"Nemad said ligi kõigele, mis on avalikus dokumendiregistris, nii kaua, kui need seal sees olid," kordas Kuningas.
Kui paljude ettevõtete ärisaladust võidi varastada, on Kuninga sõnul raske hinnata, sest ükshaaval pole kogu lekkinud dokumendipakki läbi vaadatud. "Reeglina ettevõtted meiega ärisaladust ei jaga ka," lisas kantsler. "Rohkem otsest suhtlust on riigi enda äriühingutega, kus võib olla teatud ettevõttele tundlikku infot."
Kuningas lisas, et tundlikke navigatsiooniandmeid ei lekkinud ning nende väärtus kaob niikuinii küllalt kiiresti. "Ja kõik, mis puudutab riigisaladust ja riigi kõrgema tasemega strateegilisi dokumente, selles süsteemis ei liigu. Need liiguvad hoopis eraldi süsteemis," rõhutas Kuningas.
Rünnakuks kasutati laialt levinud tööriistu
Sotsiaalministeeriumi haldusalasse kuuluvast tervise ja heaolu infosüsteemide keskusest (TEHIK) varastasid GRU agendid muuhulgas ligi 10 000 koroonasse nakatunud inimese terviseandmed.
Kõige kergemalt pääses välisministeerium, kust häkkerid said kätte ainult veebiserveris olevat avalikku infot.
Amburi sõnul jõudsid häkkerid asutuste sisevõrkudesse läbi veebiserverites olnud turvaaukude. "Selleks, et sisevõrgus ringi liikuda, kasutati ära juba järgmised nõrkused," selgitas Ambur.
Turvaaukude kaardistamiseks ja andmete varastamiseks kasutas GRU Amburi sõnul üsna levinud ning vabalt kättesaadavaid tööriistu.
Mida varastatud infoga edasi tehti, saavad Eesti julgeolekuasutused ainult aimata. "Neid andmeid saab kindlasti kasutada edasi järgmiste luureoperatsioonide planeerimiseks. Nii inimluureks kui ka küberluureks," ütles Palloson. "On levinud ka see, et neid andmeid muudetakse ja lekitatakse, et tekitada mainekahju Eesti riigile."
Palloson lisas, et praeguseks neid andmeid kapo teada lekitatud ei ole.
Sama üksus ründas nii Ukrainat kui ka Kesk-Euroopa transpordivõrku
Esimene kahtlusalune tuvastati Amburi sõnul üsna pea pärast rünnakuid. "Sealt edasi võtsime nii siseriiklike kui ka rahvusvaheliste partnerasutustega selle aja, et kokku panna tervikpilt," lisas ta.
Selle pildi keskmes on 2008. aastast tegutsev GRU üksus 19155. Sama üksust on Eesti liitlasriigid seostanud nii endise GRU ohvitseri Sergei Skripali mürgitamisega 2018. aastal kui ka Montenegro riigipöördekatsega 2016. aastal. Tšehhid süüdistavad üksust seoses 2014. aastal riigis toimunud laskemoonalao plahvatustega.
"Ja alates 2020. aastast on seesama GRU väeosa arendanud ka kübervõimekust ja asunud aktiivselt ründama NATO ja Euroopa Liidu riike," sõnas Palloson.
Sama aasta novembris Eestit tabanud rünnakud oli alles algus. Pallosoni sõnul on tänaseks rünnatud kokku 26 riiki, teiste seas Ukrainat, mis sai eriti valusalt pihta 2022. aastal enne Venemaa täiemahulist sissetungi.
WhisperGate nimelise pahavara abil löödi rivist välja mitu Ukraina jaoks olulist infosüsteemi. Selle rünnaku taustal varastati Ukraina süsteemidest suur hulk tundlikke andmeid ja rikuti asutuste veebilehti. Et ukrainlasi segadusse ajada, seati veebikülgedele tekst "Ukrainlased, kogu teie kohta käiv teave on avalikuks tulnud, kartke ja oodake halvimat."
USA justiitsministeeriumi andmetel ründas sama grupeering 2022. aasta augustis ka Ukrainat toetava Kesk-Euroopa riigi transporditaristut.
Eesti otsib taga kolme, USA kuut kurjategijat
Rünnakute lisandudes liitus üha uusi riike ka rahvusvahelise uurimisega, ning peagi sai koostöö nime: Operatsioon Mängusõdur (Toy Soldier). Neljapäeva õhtul tegid riigid operatsiooni avalikuks.
Ameerika Ühendriikide justiitsministeerium teatas, et otsib seoses rünnakutega taga viit GRU ohvitseri ja ühte tsiviilisikut. Kõigi nende tabamiseks on välja pandud 10 miljoni dollari suurune pearaha.
Nende seas on GRU küberüksuse juht kolonel Yuri Denisov ja üksuse liige Nikolay Korchagin. Mõlemad mehed on prokuratuuri teatel seotud ka Eestit tabanud rünnakutega. Lisaks andis maakohus loa küberüksuse liikme Vitali Shevchenko vahistamiseks.
"Riigiprokuratuuril on põhjust kahtlustada neid arvutikuriteo ettevalmistamises, arvutisüsteemile ebaseaduslikult ligipääsu hankimises ja Eesti vabariigi vastu suunatud luure tegevuses," sõnas riigiprokurör Vahur Verte. "Tegemist on kuritegudega, milles süüdimõistmisel võidakse neile mõista 20-aastane vangistus."
Kõik kahtlusalused viibivad Verte sõnul praegu Venemaal.
Õnnestunud küberrünnakuid on üha rohkem
See on ajaloos esimene kord, mil Eesti riigivastased küberrünnakud kuriteo toimepanijatele omistab. "Selle omistamise kvalitatiivne tähendus on see, et me saame näidata, et Eesti ise suudab taolisi uurimisi läbi viia ja jõuda reaalsete tulemusteni," rääkis välisministeeriumi küberdiplomaatia osakonna peadirektor Tanel Sepp, ning lisas, et välisministeerium üritab edendada riikide vastutustundlikku käitumine küberruumis.
"Omistamised on teetähised, kuidas me saame riike korrale kutsuda," sõnas Sepp.
Pallosoni sõnul jätkuvad GRU katsed Eesti ja teiste riikide infosüsteeme rünnata tänaseni.
See aga on vaid väike osa Eestit tabavatest rünnakutest. Riigi infosüsteemi ameti küberturvalisuse keskuse juht Gert Auväärt märkis, et 2023. aastal oli Eestis umbes 3300 mõjuga küberintsidenti. "Ma pean silmas intsidenti, mille puhul ründaja kas osaliselt või terviklikult saavutas oma eesmärgi. Selle aasta seitsme kuuga oleme me sama arvu juurde jõudnud," ütles Auväärt.
Kuningas: MKM tegi asjad korda, kuid sai ka trahvi
Pärast 2020. aasta rünnakut alustas RIA järelevalvemenetlust, et leida üles vead, mis rünnakule võimaluse andsid.
"See konkreetne järelevalve päädis väärteomenetlusega majandus- ja kommunikatsiooniministeeriumile," sõnas Auväärt ning selgitas, et 8000-eurose trahvini viis see, et MKM ei suutnud järelevalvemenetluse käigus leitud vigu piisavalt kiiresti parandada.
Seda tunnistas ka ministeeriumi kantsler Kuningas. "Varem oli olnud tööde tegemine mõnevõrra aeglane, aga siis, kui ma ise sinna protsessi sisenesin, sai tehtud väga kiired muudatused," sõnas 2022. aasta sügisel ametisse asunud Kuningas.
Ta rõhutas, et kriitiliste parandustöödega alustati ministeeriumis kohe pärast rünnakut. "Kogu autentimissüsteem muudeti kohe ära. Muudeti kõik paroolid ja turvakilbid pandi samuti peale," loetles Kuningas.
"Aga RIA ei olnud rahul ministeeriumisiseste protsessidega ehk kuidas käib riskide hindamine ja kuidas on varad kaardistatud," lisas ta. "Ehk dokumendihaldus ja majapidamine ei olnud veel nii heas korras, kui RIA oleks tahtnud."
Kuningas rääkis, et infosüsteemide parandamisele kulutas ministeerium üle kahe miljoni euro. "Kogu taakvara läks kinni, olemasolevaid varasid uuendati, serveriparki uuendati," rääkis ta ning lisas, et tänaseks on ministeeriumi IT-asjad hoopis teisiti korraldatud.
"Eelmisel aastal andsime kogu teenuse osutamise välja IT-majadele," ütles Kuningas, kelle sõnul korraldab MKM-i haldusala arvutitöökohtasid ja infoturvet riigi IT-keskus. Haldusala infosüsteeme haldavad aga keskkonnaministeeriumi IT-asutus ja sotsiaalministeeriumi IT-maja.
Toimetaja: Marko Tooming